2020-0219: GitLab: Mehrere Schwachstellen ermöglichen u. a. Directory-Traversal-Angriffe
Historie:
- Version 1 (2020-01-31 16:23)
- Neues Advisory
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in GitLab ermöglichen einem entfernten, meist einfach authentifizierten Angreifer die Durchführung von Directory-Traversal-, Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffen, das Ausspähen von Informationen, die Manipulation von Dateien und das Umgehen von Sicherheitsvorkehrungen.
Gitlab informiert über die Schwachstellen und stellt die Versionen 12.7.4, 12.6.6 und 12.5.9 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit.
Schwachstellen:
CVE-2019-16779
Schwachstelle in RubyGem excon ermöglicht Ausspähen von InformationenCVE-2019-16892
Schwachstelle in Rubyzip ermöglicht Denial-of-Service-AngriffCVE-2019-18978
Schwachstelle in Rack::Cors ermöglicht Directory-Traversal-AngriffCVE-2020-6833
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7966
Schwachstelle in GitLab ermöglicht Directory-Traversal-AngriffCVE-2020-7967
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7968
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7969
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7971
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffCVE-2020-7972
Schwachstelle in GitLab ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-7973
Schwachstelle in GitLab ermöglicht Cross-Site-Scripting-AngriffCVE-2020-7974
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7976
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-7977
Schwachstelle in GitLab ermöglicht Manipulation von DateienCVE-2020-7978
Schwachstelle in GitLab ermöglicht Denial-of-Service-AngriffCVE-2020-7979
Schwachstelle in GitLab ermöglicht Ausspähen von InformationenCVE-2020-8114
Schwachstelle in GitLab ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.